奇怪的是，我刚刚在这里回答了一个类似的问题：https ://unix.stackexchange.com/questions/269909/ipsec-rightsubnet-to-wide-cannot-override-routing-table-ipsec-route-some-pack?atw = 1

我会类似地回答：您正在做的是 VPN 浓度。有多种特定于供应商的方法可以做到这一点，有些非常简单，有些非常深奥，但我的建议是避免所有这些，并从第 3 层级别配置您的网络，使用 IPsec 进行较低级别的连接胶水。

特别是在您的情况下，您将在分支机构和主办公室之间创建 IPsec 链接，但不是直接在 IPsec 配置中指定每个办公室的子网，而是在它们之间创建 /30 点对点链接，然后使用 GRE最重要的是，将子网静态指向每个链接，或者（更好）使用 OSPF 重新分配您的路由。

与具有直接连接的子网的一堆静态路由相比，具有路由逻辑的点对点链接具有更高的可扩展性。在后者（您目前正在使用的）中，您必须不断重新配置 IPsec 以了解什么可以路由到哪里，即使您正在添加一个子网。当您添加多个子网时，复杂性呈指数级增长，并很快变得站不住脚。在各个点添加防火墙/安全策略和安全平面，您很快就会掌握大量的配置。

点对点链路将完全消除复杂性，因为路由现在位于典型的路由点：静态表或动态路由协议，如 OSPF 和 BGP。如果您利用 OSPF 和 BGP，您将永远不必在整个网络中添加路由；您只需添加一个子网，路由就会自动传播到所有办公室。您的安全性也很简单，因为您现在可以将安全平面放置在逻辑位置，而不是找出它们适合 IPsec-land 的位置。

这很可能需要在周末将您的远程办公室配置大修到主办公室。然而，一旦这一点到位，未来的变化和调整将非常简单；在您当前的配置中，任何更改都需要在整个网络中进行一些手动波动更改，并且复杂性会引入错误。

完全有可能，归结为几件事，（我定期设置）。

如果它还没有发生（我猜不是），你有：

a) 分支路由器配置为仅排除当前分支和 HO 子网的 nat 问题，因此到其他分支的流量试图通过 wan 或只是在 nat 中受到破坏。

b) 访问列表/防火墙问题，其中流量有路径并被设备拒绝。

c) 一个路由问题，其中分支 A 没有通过它拥有的任何网关到分支 B 的路径 - 如果需要，您通常可以使用静态路由来修复。

通常这些是您在使用 vpns 和 hub-spoke vpns 时面临的问题。

干杯，